Mettons les choses en perspective : Pourquoi la cryptographie post-quantique est-elle cruciale ?
L’informatique quantique approche rapidement et va bouleverser les systèmes cryptographiques qui assurent la protection de nos données, communications et infrastructures. Il est temps de vous préparer dès maintenant. Dans cette série de six articles sur la cryptographie post-quantique (PQC), les experts en cryptographie de F5 vous expliqueront les risques, les opportunités à venir, et les mesures concrètes que votre organisation peut adopter dès aujourd’hui pour garantir sa sécurité dans un monde post-quantique. L’avenir est plus proche qu’il n’y paraît. Préparons-nous ensemble.
En 2015, l'Agence nationale de sécurité des États-Unis (NSA) a freiné la transition de l’industrie vers la cryptographie à courbes elliptiques (ECC) depuis les systèmes cryptographiques Rivest-Shamir-Adleman (RSA) largement utilisés, en recommandant « aux partenaires et fournisseurs n’ayant pas encore effectué cette transition vers les algorithmes à courbe elliptique de la Suite B de ne pas engager de dépenses majeures à ce stade, mais de se préparer à l’arrivée des algorithmes résistants aux menaces quantiques. »
Depuis, de nombreuses projections ont vu le jour, accompagnées de spéculations sur la date précise à laquelle un ordinateur quantique capable de casser RSA et ECC sera opérationnel, y compris l'affirmation que la cryptographie largement utilisée a une chance sur sept d'être compromise d'ici 2026 et une probabilité de 50 % d'être inutilisable d'ici 2031.
Plus récemment, Satya Nadella, PDG de Microsoft, a déclaré qu’un processeur d’un million de qubits est à portée de main. Microsoft, ainsi que les hyperscalers comme IBM, Google et AWS, mène la recherche quantique et propose des sandbox dans leurs plateformes cloud respectives. F5 Labs, dans son article Prédictions de cybersécurité pour 2025, souligne que même si l’informatique quantique capable de casser la cryptographie directement n’arrivera pas tout de suite, l’IA permettra de déjouer la cryptographie traditionnelle dès 2025.
La cryptographie post-quantique transformera tous les secteurs et régions du monde.
Nous n'excellons pas dans les courbes de prédiction
Le « Jour J » approche à grands pas. Nous ne connaissons pas encore la date précise. Le secteur de la sécurité a déjà fait ce genre de prévisions, mais ici, les acteurs majeurs et les autorités de régulation veulent clairement vous devancer.
En 2000, Salesforce a lancé la première API accessible au public. En 2019, l’Open Worldwide Application Security Project (OWASP) a présenté son premier projet de sécurité des API. Les prévisions sur la date d’arrivée de l’intelligence artificielle générale (IAG) ont été abandonnées (initialement situées entre 2040 et 2070), mais le développement rapide de l’IA générative et les avancées en informatique quantique remettent sérieusement en cause cette estimation — elle pourrait se produire bien plus tôt.
Comme mentionné dans le premier article de cette série, la situation « récolter aujourd’hui, déchiffrer plus tard » est bien réelle, et aux États-Unis, le National Institute of Standards and Technology (NIST) publie déjà des recommandations sur les algorithmes résistants à l’ère post-quantique.
Le Q-Day affectera tous les aspects de la sécurité, des applications web aux API, en passant par les écosystèmes d’IA interconnectés.
Comment se comparent les secteurs entre eux ?
L'informatique quantique donnera aux attaquants les moyens de cibler plus efficacement les réseaux électriques, les réseaux financiers, les systèmes gouvernementaux et les réseaux de télécommunications. Dans de nombreux secteurs, tels que la santé et le commerce en ligne, les réglementations vous obligent à protéger les informations sensibles des clients, notamment en déployant une cryptographie solide.
Les plus grandes organisations de ces secteurs gèrent plus de 30 millions d'actifs qu'elles doivent adapter pour intégrer la cryptographie post-quantique (PQC). Votre entreprise court un risque dès qu’un ordinateur quantique capable de déjouer le chiffrement moderne apparaît, surtout si vous traitez de propriété intellectuelle, de dossiers médicaux, de transactions financières ou d’informations liées à la sécurité nationale.
Les recherches de F5 Labs indiquent qu'une majorité des 1 million de sites Web les plus populaires préfèrent TLS 1.3, ce qui leur donne la possibilité de prendre en charge PQC, mais la prise en charge diminue rapidement pour les sites moins populaires. Safari ne prend pas encore en charge PQC, ce qui fausse considérablement l’analyse de la préparation côté client. Même si l’impact va bien au-delà du trafic Web, il s’agit d’un indicateur important de l’état de préparation du secteur.
Les secteurs avancent vers le PQC, mais ils prennent encore du retard.
Les leaders les plus rapides de tous les secteurs ont à peine commencé à intégrer le support PQC, ce qui place le monde en ligne dans une situation de grande vulnérabilité. Les institutions financières, les organismes de santé, les fournisseurs de télécommunications et les agences gouvernementales, représentant une large part des infrastructures critiques et manipulant probablement les données les plus secrètes et sensibles, comptent peu de sites compatibles avec le PQC.
Le secteur bancaire adopte très peu le PQC, avec seulement 4 banques sur 145 (2,9 %) utilisant des chiffrements post-quantiques. Dans le top 1 million de sites analysés, environ 8,5 % des sites de santé et 7,1 % des sites gouvernementaux prennent en charge le PQC.
Le secteur technologique est un peu mieux disposé, avec près de 12 % des sites qui supportent la PQC. Les petites organisations adoptent plus facilement une plateforme d’hébergement web ou SaaS, ce qui leur garantit tous les contrôles de sécurité de cette plateforme, y compris la prise en charge de la PQC.
La vigilance est primordiale (sans vouloir jouer sur les mots…)
La prolifération des API et l’essor de l’IA générative ont dominé l’actualité de la sécurité, mais vous devez porter la préparation au PQC jusqu’au niveau de la direction. Gérer les risques dans un paysage géopolitique changeant de manière isolée mène à l’échec. Votre leadership doit être pertinent, car le PQC ne relève pas uniquement de la sécurité. Vous devrez former les équipes applicatives, d’infrastructure, ainsi que celles de la sécurité et gestion des risques aux concepts du PQC et aux stratégies de migration. Les parties prenantes clés et les chercheurs doivent se tenir informés des normes PQC, des attaques, et des améliorations de performance, en s’appuyant sur les meilleures pratiques et les laboratoires de test.
L'industrie jouera un rôle clé et doit collaborer avec les universités et les fournisseurs. Par exemple, les prestataires disposant d'une infrastructure centralisée, d'autorités de certification internes et de liens étroits avec les fournisseurs sont idéalement placés pour gérer la charge induite par des clés et signatures PQC plus volumineuses. Ces réseaux peuvent intégrer rapidement les algorithmes PQC émergents et servir de référence pour les moins avancés.
Trouver l’équilibre entre préparation et agilité
L'inventaire joue un rôle essentiel et combine des méthodes manuelles et automatisées pour analyser et hiérarchiser les risques. Concentrez-vous naturellement sur les éléments technologiques affectant les données financières, la réputation et la clientèle.
Nous assurons une maintenance continue du PQC pour garantir une gouvernance rigoureuse, évaluer les nouveaux algorithmes, examiner les fournisseurs, aligner les programmes sur les cadres réglementaires et préparer efficacement les programmes de sécurité.
La plateforme de distribution et de sécurité applicative F5 (ADSP) est prête pour le PQC.
Les suites de chiffrement hybrides qui associent algorithmes classiques et post-quantiques garantissent une protection face aux menaces classiques comme quantiques. Si vous déployez et protégez vos applications via une plateforme CDN, SaaS ou contrôleur de distribution applicative (ADC) en maintenant vos algorithmes et normes à jour, vous serez prêt pour le Q-Day. Sinon, vous devez rapidement évaluer votre exposition et définir une stratégie claire de mise en conformité.
Vous ne faites pas un choix binaire en adoptant le PQC, mais vous optez pour une transition progressive qui dépend de la technologie, des performances, de l'interopérabilité et des besoins spécifiques de chaque secteur et de leurs cas d'usage.
Les plateformes convergées vous assurent une livraison sécurisée des applications, API et charges de travail IA dans tous les environnements, en offrant un support PQC solide et des fonctions XOps avancées qui allègent vos opérations grâce à l’IA, l’automatisation, l’analyse et la programmabilité.
Pour en savoir plus, découvrez les solutions de préparation PQC de F5.
Restez connectés pour notre prochain article de la série, où nous vous détaillerons les normes et délais du PQC.